Программа является динамической библиотекой Windows (PEDLL-файл). Написана на Visual C++. Размер файла — 43520 байт, ничем неупакован.
Бэкдор инсталлируется в систему при помощи другой вредоносной программы.
Деструктивная активность
Бэкдор пытается запустить следующие файлы:
%system%nstask32.exe
%system%tftp.exe
Предполагается, что они уже были загружены из сети при помощи другой вредоносной программы.
Бэкдор создает следующие ключи в системном реестре:
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun][HKCUSoftwareMicrosoftWindowsCurrentVersionRun]"NDplDeamon"="nstask32.exe"
И изменяет следующее значение:
[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon] "shell"="explorer.exe nstask32.exe"
Бэкдороткрывает произвольный порт зараженного компьютера, после чегосоединяется с удаленным IRC-сервером. После чего подсоединяется кспециальному IRC-каналу, по которому получает команды отзлоумышленника. По команде бэкдор может выполнять следующие действия:
* сканировать сеть в поисках машин, подверженных некоторым популярным уязвимостям;
* копировать и запускать себя на уязвимых машинах;
* запускать HTTP- и TFTP-сервера;
* создавать и менять значения ключей в реестре;
* загружать, выгружать и запускать файлы;
* открывать командную оболочку (cmd);
* считывать системную информацию;
* сканировать клавиатурные нажатия;
* совершать DoS-атаки;
* сканировать IP адреса и порты;
* перехватывать пакеты ICMP, FTP, IRC;
* создавать SYN- и ICMP-флуд;
* открывать TCP- и UDP-порты;
* посылать TCP- и UDP-пакеты.
Другие названия
Backdoor.Win32.SdBot.at(«Лаборатория Касперского») также известен как: Backdoor.SdBot.at(«Лаборатория Касперского»), W32/Spybot.worm.dll (McAfee), W32.Randex.E(Symantec), Win32.HLLW.LoveSan.based (Doctor Web), W32/RpcSdbot-A(Sophos), Win32/HLLW.SpyBot (RAV), WORM_RANDEX.R (Trend Micro),Worm/Sdbot.39936.B (H+BEDV), Win32:RPCexploit (ALWIL),IRC/BackDoor.SdBot.MJ (Grisoft), Backdoor.SDBot.40B56FB5 (SOFTWIN),Exploit.DCOM.Gen (ClamAV), Bck/SdBot (Panda), Win32/IRC.SdBot.AV (Eset)